| 下 NA 。， 人 作 其 有 二 -|| 
/ 


UilllidAN\il\ ky 


第 38 卷 第 3 期 计算 机 应 用 研究 Tol 38 Na.3 
录用 定稿 Application Research of Computers Accepted Paper 
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摘 要 : 近年 来 ， 基 于 深度 神经 网 络 的 图 像 分 类 技术 已 经 取得 了 巨大 的 成 功 ， 然 而 ， 最 近 研 究 表明 深度 神经 网 

易 受 到 对 抗 样本 的 攻击 。 为 了 解决 这 个 问题 ， 一 些 工 作 通过 向 图 像 中 添加 高 斯 嗓 声 来 训练 网 络 ， 从 而 提高 网 络 、 

对 抗 样本 的 能 力 ， 但 是 该 方法 在 添加 噪声 时 并 没有 考虑 到 神经 网 络 对 图 像 中 不 同 区 域 的 敏感 性 是 不 同 的 。 针 对 这 一 
， 提 出 了 梯度 指导 噪声 添加 的 对 抗 训 练 算法 。 该 算法 在 训练 网 络 时 ， 根 据 图 像 中 不 同 区 域 的 敏感 性 向 其 添加 自 

适应 的 噪声 ， 在 敏感 性 较 大 的 区 域 上 添加 较 大 的 噪声 ， 抑 制 网 络 对 图 像 变 化 的 敏感 程度 ， 在 敏感 性 较 小 的 区 域 上 添 

加 较 小 的 噪声 ， 提 高 其 分 类 精度 。 在 cifar-10 数据 集 上 与 现 有 的 算法 进行 比较 ， 实 验 结 果 表 明 ， 提 出 的 方法 有 效 地 

提高 了 神经 网 络 在 分 类 对 搞 样 本 时 的 准确 率 。 
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Algorithm for defense adversarial example based on adaptive noise addition 


5 Liu Ye, Huang Xianying', Liu Wenxing, Zhu Xiaofei, Li Zhaoping 
™y (School of Computer Science & Engineering, Chongqing University of Technology, Chongqing 400054, China) 


Abstract: Image classification techniques based on deep neural networks have achieved great success in recent years. 
However, recent studies have shown that deep neural network are vulnerable to the attack of adversarial examples. To solve 
this problem, some works train networks by adding Gaussian noise to the image. Thereby improving the ability of the network 
to defend adversarial examples, but the method does not consider the sensitivity of the network to different areas in the image 
when adding noise. To solve this problem, this paper proposed an adversarial training algorithm based on gradient guidance 
noise addition. When training the network, adding adaptive noise to different areas based on the sensitivity, adding large noise 
to the more sensitive areas, suppressing the sensitivity of the network to image changes, adding less noise to the less sensitive 
areas and improves the network classification accuracy. Compared with the existing algorithms on the cifar-10 dataset, the 
experimental results show that the proposed method effectively improved the accuracy of neural networks when classifying 
adversarial examples. 
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网 络 分 类 对 抗 样本 的 准确 率 。 然 而 这 些 方法 训练 时 向 图 
添加 的 噪声 是 从 同一 高 斯 分 布 (相同 的 均值 和 标准 差 ) 中 
的 ， 并 没有 考虑 到 网 络 对 图 像 中 不 同 像素 的 敏感 性 是 不 
9， 即 改变 输入 图 像 中 不 同 像素 ， 对 分 类 结果 的 影响 大 
不 同 的 。 另 一 些 工作 提出 了 对 抗 训练 的 方法 59， 该 方 


0 引言 


CS 近年 来 ， 深 度 神 经 网 络 (deep neural network，DNN) 在 各 
种 应 用 中 都 取得 了 巨大 的 成 功 ， 包 括 图 像 分 类 局 ， 语 音 识别 
叫 ， 机 器 翻译 B， 自 动 驾驶 和 内， 图 像 字幕 辐 以 及 对 象 识 别 器 。 小 
然而 ，2014 年 Christian Szegedy 等 人 发 现 深度 神经 网 络 具 有 法 的 基本 思想 是 : 通过 在 训练 过 程 中 ， 使 用 投影 梯度 下 降 方 
很 容易 受到 对 抗 样本 攻击 的 特性 ， 在 图 像 分 类 任务 中 ， 给 定 ”法 将 生成 的 对 抗 样本 加 入 到 训练 集中 训 
一 个 正确 分 类 的 图 像 ， 向 图 像 添 加 精心 设计 的 微小 扰动 可 以 ” 练 网 络 ， 从 而 提高 网 络 防御 对 抗 样本 的 能 力 。 但 是 该 方法 | 
使 深度 神经 网 络 以 较 高 的 置信 度 分 类 错误 ， 这 样 的 添加 有 扰 。 于 标签 泄露 的 问题 03, 为 了 使 训练 的 网 络 具 有 良好 的 防御 对 
动 的 图 像 被 称 为 对 抗 样本 四。 除了 图 像 分 类 以 外 ,其 他 DNN 抗 样本 的 能 力 ， 在 生成 对 抗 样本 时 需要 多 次 计算 输入 图 像 的 
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的 应 用 也 受到 了 对 抗 样本 的 攻击 , 如 视觉 问题 问答 名 科 , 图 像 ” 梯度 ， 导 致 训练 的 时 间 花 销 达 到 正常 训练 的 10 倍 以 上 。 
字幕 00， 语 义 分 割 0 及 其 他 Be2 等 ， 这 对 深度 神经 网 络 的 应 本 文 将 对 抗 训练 思想 以 及 利用 噪声 图 像 来 训练 网 络 的 方 
构成 了 一 定 的 威胁 。 法 相 结 合 ， 提 出 了 梯度 指导 噪声 添加 (gradient guide noise 


图 像 分 类 技术 是 深度 神经 网 络 在 计算 机 视觉 的 各 种 应 用 addition，GGNA) 的 对 抗 训 练 算法 。 该 算法 的 基本 思想 是 : 1 
中 的 基础 任务 ， 具 有 极其 广泛 的 应 用 ， 但 也 是 遭受 对 抗 样本 于 对 抗 样本 改变 了 原始 图 像 的 像素 ， 为 了 降低 网 络 对 输入 图 
攻击 较 严 重 的 领域 。 为 了 提高 神经 网 络 正 确 分 类 对 抗 样本 (也 像 的 像素 变化 的 敏感 性 ， 在 使 用 噪声 图 像 训练 网 络 时 ， 应 在 
就 是 防御 对 抗 样本 ) 的 能 力 , 最 近 , 一 些 工 作 02 59 从 模型 正则 敏感 性 (梯度 值 ) 较 大 的 像素 上 添加 更 多 的 噪声 ， 更 有 效 地 降 
化 的 角度 来 考虑 ， 其 主要 思想 是 : 在 训练 阶段 ， 通 过 向 输入 低 网 络 对 该 像素 变化 的 敏感 性 ， 从 而 提高 网 络 防御 对 抗 样本 
图 像 中 添加 高 斯 噪声 训练 神经 网 络 ， 实 现 网 络 正 则 化 ， 从 而 的 能 力 。 而 在 敏感 性 较 小 的 像素 上 添加 较 小 的 噪声 ， 提 高 网 
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络 分 类 精度 。 具 体 的 说 ， 在 训练 阶段 ， 本 算法 首先 计算 输入 
图 像 中 各 像素 的 梯度 值 ， 再 用 归 一 化 方法 将 梯度 大 小 转换 为 
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上 过 程 可 以 描述 如 下 : 
t=[ [RO +aesisn(YZ(C7(C2),D) (2) 
中 已 (9 是 以 x+s 为 上 下 界 的 投影 空间 ，s 是 总 的 约束 扰动 


高 斯 分 布 的 标准 差 (高 斯 分 布 的 均值 固定 为 0), 输入 图 像 中 不 
司 像素 添加 的 噪声 将 从 对 应 的 标准 差 的 高 
并 将 该 添加 有 噪声 的 图 像 加 入 训练 集中 训练 网 络 。 在 测试 对 
抗 样本 时 ,也 向 对 抗 样本 中 加 入 一 定 的 噪声 再 测试 对 抗 样本 。 


分 布 中 独立 采样 。 


的 大 小 , & 是 每 近代 一 次 扰动 的 步 长 大 小 ,为 迭代 的 次 数 。 
在 白 盒 对 抗 攻击 中 PGD 是 一 个 非常 强大 的 攻击 方法 ， 相 对 
于 FGSM 方法 ,PGD 攻击 产生 的 对 抗 样本 更 容易 使 模型 错误 
分 类 。 
Deepfool 攻击 方法 I 站 是 Moosavi-Dezfooli 等 人 为 改进 了 
FGSM 中 扰动 大 小 需要 人 为 选择 的 问题 而 提出 的 对 抗 样本 生 
成 算法 ， 该 方法 可 以 通过 多 次 迭代 求解 以 下 的 优化 问题 ， 直 
到 得 出 满足 有 ( 祷 # p(x) 条件 的 扰动 大 小 : 


[ET VL(fo(¥),7) @) 
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(a) 原 图 


(b) 自 适 应 噪声 图 
图 1 原 图 与 对 应 的 噪声 图 
Fig.1 Image and corresponding noise image 
图 1 显示 了 一 张 图 像 与 该 图 像 的 自 适应 噪声 图 与 普通 噪 
声 图 的 不 同 。 其 中 ，(a) 为 cifar-10 数据 集中 的 一 张 图 像 ，(b) 
为 添加 有 自 适 应 噪声 的 图 ， 该 噪声 是 根据 模型 对 图 像 中 不 同 
像素 的 敏感 性 而 添加 ，(c) 为 添加 普通 的 高 斯 噪声 图 。 
本 文 的 主要 贡献 点 如 下 : 
a) 为 提高 模型 正确 分 类 对 抗 样本 的 能 力 , 将 使 用 噪声 图 
像 训练 的 网 络 方法 和 对 抗 训练 方法 相 结合 ， 提 出 了 一 种 新 的 
防御 对 抗 样 本 的 算法 ; 
b) 提出 的 GGNA 方法 在 用 添加 噪声 的 图 像 训 练 网 络 的 
过 程 中 ， 考 虑 了 网 络 对 不 同 像素 的 敏感 性 ， 实 现 了 自 适应 的 
噪声 添加 ; 
c) 提出 的 GGNA 方法 使 用 了 对 抗 训练 的 思想 ， 但 在 训 
练 过 程 中 只 需 计 算 一 次 图 像 的 梯度 ， 相 对 于 普通 的 对 抗 训练 
方法 ,减少 了 训练 的 时 间 。 


1 ”相关 工作 


1.1 对 抗 攻击 

最 近 ， 在 对 抗 样本 生成 (也 就 是 对 抗 攻 击 ) 方 面 有 了 许多 
的 研究 成 果 。 通 常 ， 根 据 暴 露 给 攻击 者 神经 网 络 的 信息 的 多 
少 ， 对 抗 攻 击 可 以 分 为 白 盒 攻 击 (PGD05 ，FGSML]I 和 
Deepfool152) 和 黑 盒 攻击 。 对 于 和 白 盒 攻 击 ， 攻 击 者 能 获得 有 关 
神经 网 络 的 所 有 信息 ， 包 括 网 络 结构 和 网 络 权 重 ， 可 以 通过 
反 向 传播 计算 输入 图 像 的 梯度 ， 梯 度 对 于 攻击 者 非常 有 用 ， 
因为 梯度 代表 了 输出 对 于 输入 图 像 的 敏感 性 ， 攻 击 者 根据 梯 
度 方 向 修改 图 像 上 的 像素 ， 从 而 生成 对 抗 样本 。 而 对 于 黑 盒 
攻击 (1 站， 攻击 者 只 知道 网 络 的 外 部 信息 (如 输入 和 输出 )， 通 
过 对 抗 样本 的 转移 性 进行 攻击 。 由 于 白 盒 攻击 的 信息 更 丰富 ， 
因此 ， 白 盒 攻 击 可 以 得 到 更 高 的 攻击 成 功率 中 。 常 见 的 攻击 
方法 有 如 下 几 种 : 
快速 梯度 符号 方法 Ml(fast gradient sign method, FGSM) 是 
一 种 有 效 的 单 步 对 抗 攻击 方法 。 其 基本 思想 是 : 给 定 一 个 输 


(c) 普通 噪声 图 


其 中 x 是 正常 图 像 ， 革 是 产生 的 对 抗 样本 ， h(x) 是 分 类 器 ， 
Deepfool 攻击 是 对 决策 边界 进行 攻击 ， 相 对 于 FGSM 攻击 ， 
Deepfool 攻击 所 产生 的 扰动 更 小 。 

1.2 对抗 防 御 

针对 对 抗 样本 的 攻击 ， 最 近 在 图 像 分 类 的 防御 对 抗 样本 
(对 抗 防御 ) 方 面 也 提出 了 很 多 方法 , 包括 对 抗 样本 检测 方法 ， 
对 抗 训练 方法 和 基于 正则 化 的 方法 等 Pang 等 ?提出 了 一 种 
对 抗 样本 检测 方法 ， 该 方法 通过 最 小 化 反 向 交叉 ， 鼓 励 神 
经 网 络 学 习 图 像 的 潜在 表示 ， 从 而 将 对 抗 样本 和 正常 样本 分 
开 。 虽 然 对 抗 样本 检测 算法 易于 实现 且 检测 成 功率 高 ， 但 是 
该 方法 只 检测 输入 图 像 是 否 为 对 抗 样本 ， 对 于 对 抗 样本 的 正 
确 分 类 仍然 需要 和 其 他 的 防御 方法 共同 使 用 才能 实现 。 
Marday 等 05 通 过 对 抗 训练 的 方法 来 提高 网 络 防御 对 抗 样本 
的 能 力 ， 对 抗 训练 的 过 程 在 理论 上 相当 于 求解 如 下 的 最 大 最 
小 值 问 题 : 


minE| max Z( 记 GO (4) 


其 中 , 了 是 对 应 的 标签 ，Z(9) 代表 loss 函数 ，* 是 原始 样本 ， 

+ 是 对 抗 样本 ，B(x,s) 是 以 x+s 作为 上 下 界 的 空间 ， 大 (9) 是 
神经 网 络 分 类 器 ，9 是 分 类 器 的 参数 ， 在 求解 maxL(jo (名 ,7) 
的 内 部 最 大 化 问题 时 是 通过 PGD 攻击 方法 生成 对 抗 样本 来 
近似 求解 ,而 minE{*} 的 外 部 最 小 化 问题 , 则 通过 更 新 网 络 模 
型 的 参数 以 最 小 化 内 部 对 抗 样本 所 引起 的 对 抗 性 损失 值 。 最 
新 的 TRADES04 方 法 改进 了 对 抗 训练 的 方式 , 将 对 抗 训练 过 
程 看 做 近似 求解 如 下 的 最 大 最 小 值 问题 : 


min E{L(f (0),Y) + or ma LL,(®), fo(%)) (3) 


其 中 cx 为 正则 化 项 ， 该 方法 权衡 了 正常 样本 和 对 抗 样本 的 准 
确 率 并 得 到 了 更 好 的 防御 对 抗 样本 的 效果 ， 在 求 
maxZ (万 ( 人 ,万 (59) 的 内 部 最 大 化 的 问题 时 , TRADES 方法 是 也 
是 通过 PGD 方法 多 次 迭代 生成 对 抗 样本 近似 求解 。 
Zantedeschi 等 03 通 过 在 输入 图 像 中 添加 高 斯 噪声 进行 数据 
增强 来 训练 网 络 实现 网 络 正 则 化 ， 从 而 降低 神经 网 络 对 输入 
变化 的 敏感 性 ,在 测试 对 抗 样本 时 也 向 对 抗 样本 中 添加 噪声 。 


入 向 量 和 相应 的 攻击 目标 +，FGSM 沿 着 测试 loss 关于 向 量 
xX 的 每 个 元 素 的 梯度 方向 改变 每 个 元 素 * ， 对 抗 样本 的 生成 
可 描述 如 下 : 


t=x+eesign(VL( fo(x),7)) (1) 
其 中 是 决定 攻击 强度 的 总 的 约束 扰动 。ho(*) 是 计算 输入 < 
时 参数 为 96 的 DNN 时 的 输出 ，sign(*) 是 符号 函数 。 注 意 ， 若 
原始 样本 xs[04] ， 则 攻击 所 生成 的 对 抗 样本 要 做 一 个 剪 切 以 
确保 el[0,1] 。 
投影 梯度 下 降 方法 (projected gradient descent, PGD)L51 是 
FGSM 攻击 方法 的 多 步 变 体 。 其 基本 思想 是 : 用 站 :=x 作 为 
初始 化 ， 友 代 多 次 计算 输入 对 的 梯度 值 ， 更 新 对 抗 样本 ， 和 迭 


但 是 该 方法 在 训练 时 加 入 的 噪声 为 普通 的 高 斯 噪声 ， 没 有 考 
虑 梯度 信息 。Liu 等 呈 为 防御 对 抗 样本 提出 向 输入 及 网 络 中 
添加 高 斯 噪声 训练 网 络 的 方法 。Wang 等 25] 提 出 了 MART 方 
法 ,该 方法 通过 区 分 训练 过 程 中 分 类 错误 和 正确 的 样本 ,并 对 
分 类 错误 和 正确 的 样本 采用 不 同 的 最 大 化 方法 来 训练 鲁 棒 的 
分 类 模型 。 


2 ”梯度 指导 噪声 添加 (GGNA) 对 抗 训练 算法 


2.1 梯度 与 添加 噪声 的 关系 分 析 
在 图 像 分 类 的 神经 网 络 中 ， 输 出 对 于 输入 图 像 中 的 每 一 
像素 的 梯度 值 不 同 ， 则 每 一 像素 对 输出 的 影响 大 小 也 不 同 。 
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梯度 值 较 大 的 像素 ， 则 该 像素 对 输出 的 
这 些 像素 做 很 小 的 改变 也 很 容易 使 

F 梯度 值 接近 0 的 像素 ， 
对 分 类 结果 也 几乎 无 影 


普 误 ， 而 对 本 


刘 


野 ， 等 : 基于 自 适 应 唆 声 添加 的 防御 对 抗 样本 的 工法 


影响 也 


较 大 ， 即 使 对 


原本 分 类 正 


向 。 图 


确 的 图 像 分 类 


对 该 像素 做 较 大 的 扰动 
2 给 出 了 对 于 某 一 神经 网 络 分 


类 器 1 ,输入 图 像 的 某 一 个 通道 8x8 区 域 上 梯度 绝对 值 大 小 ， 


可 以 看 出 


术 
效 地 降 


不 同 像素 的 梯度 相差 较 大 。 


样本 是 对 原始 图 像 的 某 些 像素 


氏 输 入 图 像 


履 了 改 


像素 变化 对 输出 的 影响 ， 在 使 用 


变 的 图 像 ， 为 


训练 模型 时 ， 


神经 网 络 对 该 像素 的 敏感 性 


应 在 梯度 较 大 的 


像素 上 


添加 更 多 的 噪 


， 而 在 梯度 接近 0 的 像 


素 上 添加 更 少 的 噪声 ， 提 高 网 络 分 类 精度 。 由 于 添加 的 噪声 
是 从 高 斯 分 布 中 独立 采样 ， 在 高 斯 分 布 的 均值 设 为 0 时， 标 
准 差 越 大 则 采样 到 的 更 大 的 噪声 的 概率 也 越 大 。 基 于 以 上 的 
分 析 ， 在 使 用 噪声 图 像 训 练 模 型 时 ， 可 以 将 输入 图 像 的 梯度 
转换 为 高 斯 分 布 的 标准 差 ， 而 各 像素 中 添加 的 噪声 将 从 该 像 
素 的 梯度 转换 的 标准 差 的 高 斯 分 布 中 独立 采样 ， 梯 度 较 大 的 
像素 对 应 的 噪声 从 标准 差 较 大 的 高 斯 分 布 中 采样 ， 梯 度 较 小 
的 像素 对 应 的 噪声 从 标准 差 较 小 的 高 斯 分 布 中 采样 。 

-12 

图 2 输入 图 像 某 一 通道 的 梯度 绝对 值 
Fig.2 Gradient absolute value of the image in a channel 


2.2 算法 理论 分 析 


在 基于 


经 网 络 的 图 


像 分 类 任务 中 ， 


训练 


个 普通 的 分 


类 模型 ， 为 了 获得 高 的 分 类 1 


函数 : 


minE{L(fo(*),7)) 


确 率 ， 需 要 最 小 化 模型 的 损失 


然而 ， 由 于 对 抗 样本 的 存在 ， 为 了 让 模型 不 仅 对 原始 样 


本 具有 较 高 的 分 类 7? 


准确 率 ， 最 小 化 损失 函数 : 
mm 本 LO 


其 中 加 % 4%() 是 通过 在 训练 过 程 中 旨 


圣 确 率 ， 对 于 对 抗 样本 也 要 


最 大 的 对 抗 样本 来 近似 实现 ， 常 见 实 
=x+N(0,7?) 
KM=NI+t+osign(VL(fo (7 ),Y)) 


其 中 ，N(0,?) 表 示 从 均值 为 0， 标 交 
样 ， 即 式 (8) 表 示 向 图 像 中 加 入 同 分 布 的 高 斯 噪声 。 


表示 沿 着 梯度 方向 多 次 迭代 修改 图 像 以 生成 对 


大 表示 迭代 的 次 数 ，&% 表示 每 一 次 
VYZ(j CD),7) 表示 输入 图 像 的 梯度 。 


号 函数 ， 


区 改 的 大 小 ，sign(*) 表示 符 


(6) 

较 高 的 分 类 

(7) 

成 使 得 模型 损失 值 
山 方 式 如 下 : 

(8) 

(9) 

E 差 为 7 的 高 斯 分 布 中 采 

而 式 (9) 则 

抗 样本 ， 其 中 


结合 以 上 两 个 


公式 并 根据 2.1 节 中 关于 梯度 和 添加 噪声 的 关系 分 析 ， 得 出 
以 下 的 对 抗 样本 生成 方法 : 


该 方法 相对 于 式 (8) 
加 的 噪声 和 梯度 相 结合 。 


txtN(0lvL(f (x),7)) 


(10) 


FP 的 方法 ,增加 了 梯度 的 信息 ， 使 添 
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洁 息 的 同时 使 得 迭 代 的 次 数 从 丰 次 降低 到 了 1 次 ， 而 式 (9) 中 
的 方法 需要 从 代 大 次 。 受 文献 [16] 的 启发 , 算法 整体 的 训练 过 
程 如 下 : 


minE{L(Jo(x),Y)+L(1o(x+N(0,lsl),7o (7)) (11) 


其 中 ， g=VL(fo(x+N(0,0°)), fo (x)) 。 

2.2.1 算法 时 间 复 杂 性 分 析 

式 (8)(9) 和 (10) 可 知 ， 由 于 式 (8) 的 方法 不 需要 计算 梯度 
值 , 且 只 需要 添加 普通 高 斯 噪声 ,所 以 花费 的 训练 时 间 最 少 ， 
而 式 (9) 中 的 方法 需要 近 代 次 反 向 传播 以 计算 输入 图 像 的 


梯度 值 ， 在 训练 深度 学 习 模 型 中 由 于 参数 量 很 大 ， 反 向 传播 
需要 花 较 多 的 时 间 ， 所 以 该 方法 所 花费 的 训练 时 间 较 多 。 而 


提出 的 式 (10) 中 的 方法 虽然 同样 需要 计算 梯度 值 ， 但 是 只 需 
要 计算 一 次 ， 减 少 了 多 次 反 向 传播 计算 梯度 值 的 时 间 ， 并 将 
梯度 转换 为 高 斯 分 布 的 标准 差 ， 达 到 了 添加 自 适 应 噪声 的 效 
果 。 总 体 算法 的 时 间 复 杂 度 为 式 (8)< 式 (10)< 式 (9)。 
2.3 算法 描述 

本 小 节 阅 述 了 本 文 提出 的 梯度 指导 噪声 添加 的 对 抗 训练 
算法 的 具体 步骤 。 在 训练 网 络 阶段 ， 首 先 计算 原始 输入 图 像 
x 中 各 像素 的 梯度 8 ， 再 将 该 梯度 转换 为 高 斯 分 布 的 标准 差 
0 ， 各 像素 添加 的 噪声 将 从 对 应 标准 差 的 高 斯 分 布 中 独立 采 
样 ， 并 将 该 添加 有 噪声 图 像 加 入 训练 集中 训练 网 络 ， 直 到 网 
络 收敛 。 在 测试 对 抗 样本 时 也 向 对 抗 样本 中 添加 噪声 ， 并 进 
行 多 次 预测 ， 投 票 得 出 最 终结 果 。 详 细 步 骤 如 下 : 
2.3.1 训练 网 络 阶 段 

a) 计算 图 像 x 中 各 像素 的 梯度 8 : 算法 利用 对 抗 训练 的 
思想 ,根据 式 (5), 计算 输入 图 像 x 的 梯度 8g=ViL(fo(x),jo (名)， 
其 中 (jo (x),jo( 久 )) 代表 输入 图 像 x 与 初始 噪声 图 像 4 输 出 之 
间 的 相对 焙 ， 为 了 计算 该 相对 焙 ， 将 噪声 图 像 初始 化 为 
=x+0.001N(0,1) ， 其 中 N(0,1) 为 均值 为 0， 标 准 差 为 1 的 高 
斯 分 布 。 

b) 将 梯度 8 转换 为 高 斯 分 布 的 标准 差 c : 
大 则 对 应 的 高 斯 分 布 的 标准 差 o 也 应 该 较 大 ， 且 标准 差 o>0， 
以 先 对 梯度 取 绝 对 值 即 8 <~|s|, 再 对 其 做 最 大 最 小 归 一 化 ， 
g <(g-min(g))/(max(g)-min(g)+0.0001)， 其 中 为 了 防止 除 0 
作 ， 在 分 母 中 加 入 了 0.0001 的 权重 ， 并 归 一 化 到 [0，1]。 
晶 归 一 化 后 各 像素 梯度 大 小 的 差距 仍然 会 达到 1000 倍 以 上 ， 
为 了 使 得 梯度 转换 得 到 的 标准 差 的 大 小 更 加 稳定 ， 将 归 一 化 


于 梯度 值 较 


古训 学 


以 后 的 梯度 再 除 以 梯度 的 均值 ， 并 裁剪 到 [0-1] 范 围 中 ， 为 了 
控制 高 斯 分 布 的 最 大 标准 差 ， 还 需 乘 以 a e[0,1] 超 参数 ， 即 


8g clamp(g/(mean(g)+0.0001),0,1)xa ,其 中 clamp(*,0,1) 为 裁剪 到 
[0, 1] 中 ,最 后 将 计算 得 到 的 梯度 8 作为 高 斯 分 布 的 标准 差 6 。 

c) 添加 自 适 应 噪声 得 到 噪声 图 像 二 : 由 于 输入 图 像 x 中 
不 同 像素 的 梯度 不 同 ， 则 各 像素 添加 的 噪声 也 从 不 同 的 高 斯 
分 布 (标准 差 不 同 ) 中 独立 采样 , 即 革 clamp( 人 ++N(0,0?),0,1) , 其 
中 aeReooe 。 

d) 计算 loss 值 更 新 网 络 参 数 2 :根据 式 (5) 计 算 loss 值 ， 
该 loss 值 由 两 部 分 组 成 , 第 一 个 是 输出 (x) 和 标签 了 之 间 的 
交叉 焙 Z(jp (7) ， 为 了 提高 正常 样本 的 准确 率 。 第 二 个 
ZL( 太 (0),fo( 们 ) 为 噪声 图 像 和 和 正常 图 像 过 之 间 的 相对 烂 ， 通 
过 最 小 化 相对 焙 的 值 ， 使 网 络 能 把 噪声 样本 和 正常 样本 分 类 
为 一 样 ， 即 正常 样本 正确 也 能 分 类 正确 。 然 后 更 新 参数 
90-pBeVolL(fo(),Y)+L(jfo(x),fo( 和 ,其 中 0 为 网 络 参数 ，B 
为 学 习 率 ， 直 到 网 络 收敛。 
2.3.2 测试 对 抗 样本 阶段 

该 算法 在 测试 对 抗 样本 时 ， 也 向 测试 的 对 抗 样本 中 添加 
噪声 ， 但 由 于 测试 时 是 没有 梯度 信息 的 ， 所 以 只 向 测试 的 对 


相对 于 式 (9) 中 的 方法 ， 在 获得 梯度 


抗 样本 中 添加 普通 高 斯 噪声 。 在 知道 对 抗 样本 的 扰动 大 小 时 ， 
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高 斯 噪声 的 大 小 可 以 根据 对 抗 样本 的 扰动 大 小 进行 相应 调整 ， 
为 简单 起 见 ， 测 试 对 抗 样本 时 添加 的 噪声 的 标准 差 也 可 以 设 
为 训练 时 添加 的 实际 噪声 的 标准 差 的 均值 。 并 集成 多 次 测 
试 结果 ， 投 票 得 出 最 终 预 测 结果 ， 在 测试 正常 样本 时 不 添加 
保 声 。 

梯度 指导 噪声 添加 (GGNA) 的 对 抗 训练 方法 的 伪 代 码 如 
算法 1 所 述 。 

算法 1 梯度 指导 噪声 添加 的 对 抗 训练 算法 

输入 : 高 斯 噪声 标准 差 m ， 学 习 率 8 ， 批 量 大 小 m， 

输出 : 训练 完成 的 网 络 j 。 
a) 从 数据 集中 读 取 m 个 样本 s={x,…,,} 
b) for i=1,...,m do 
c) 先 寺 +0.001:N(0,1) 
d) gabs(ViL(f(%), fo($S)) 
/* 其 中 abs(*) 为 取 绝对 值 ，ViL(*) 为 计算 输入 图 像 的 梯度 。 */ 
e) gO(g—min(g))/(max(gi)-min(g:)+0.0001) /* min(*) 
为 取 最 小 值 ，max(*) 为 取 最 大 值 。 */ 
f) gi clamp( gi/(mean( g;)+0.0001),0,1)*o 
/* 其 中 ，clamp(*) 为 裁剪 到 [0 中， mean(*) 为 取 均 值 。 */ 
g) 总 二 clap( 部 +N(082),0.1) 7// 添加 噪声 ， 并 裁剪 到 [0,1] 。 
h) end for 
i) 0¢0-PB Ys VolL(fo(x), 3) + Lfo (x), 万) 
/* 利用 计算 得 到 的 10ss 值 更 新 参数 。 */ 
j) 重复 执行 步骤 a) 至 步骤 工 ， 直 到 网 络 收敛 


3 ”实验 


3.1 实验 设置 

实验 使 用 公开 的 cifar-10 数据 集中 。 该 数据 集中 ， 有 5 
万 张 训练 样本 图 像 和 1 万 张 测试 样本 图 像 , 每 张 图 片 是 32X 
32 大 小 的 彩色 图 片 。 训 练 时 使 用 的 数据 增强 方式 为 : 在 图 像 
的 上 下 左右 分 别 填充 4 个 像素 点 0， 然 后 再 随机 裁剪 为 32 x 
32 大 小 的 图 像 ， 以 及 概率 为 0.5 的 随机 水 平 翻转 ， 并 将 数据 除 
以 255 归 一 化 到 [0, 1]。 实 验 采用 经 典 的 resnet-18 网 络 结构 0。 


网 络 参 数 0 。 


PE 


(8) 是 GGNA 产生 的 噪声 标准 差 ，(h) 是 普通 的 添加 高 
的 方法 产生 的 噪声 标准 差 。 从 该 图 中 可 以 看 出 ， 为 了 降低 训 
练 网 络 在 对 输入 变化 的 敏感 性 ，GGNA 方法 在 训练 时 实现 了 
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打 噪 


在 梯度 较 小 的 像素 上 添加 


局 


自 适应 的 噪声 添加 ， 在 梯度 较 大 的 像素 添加 了 较 大 的 噪声 ， 


的 噪声 也 较 小 。 而 以 前 的 方法 在 图 


中 添加 的 噪声 是 从 同一 高 斯 分 布 中 采样 ,没有 考虑 梯度 大 小 。 


“外 | 


= 


(a) 原 图 (b) GGNA 方法 的 (c) Gaussian noise 的 
自 适 应 噪声 图 普通 噪声 图 
记 0.15 0.50 
可 0.10 出 
局 0.00 
0.05 —0.25 
-0.50 


(d) a 图 的 梯度 


0.20 
0.15 
0.10 
0.05 
0.00 
(8@)b 图 对 应 噪声 标准 六 


(e)b 图 对 应 的 噪声 


(be 图 对 应 噪声 标准 
图 3 GGNA 方法 和 之 前 方法 在 添加 噪声 时 的 不 同 
Fig.3 The difference between GGNA and previous method 


when adding noise 


3.3 ”GGNA 方法 训练 时 添加 噪声 标准 差 对 准确 率 的 影响 


训练 过 程 中 使 用 
优化 器 ， 


初始 的 学 习 率 为 0.1， 在 第 30 周期 的 时 候 将 学 习 率 


的 每 个 批 次 大 小 为 64， 优 化 器 是 SGD 


表 1 给 出 了 GGNA 方法 将 训练 时 添加 的 噪声 最 大 标准 
差 设 置 为 [0.25, 0.35] 的 范围 时 , 实际 添加 的 噪声 的 标准 差 , 训 


降 为 0.01， 在 第 40 周 其 
练 50 个 周期 。 对 
小 为 0.031(8/255)， 即 每 个 像 


于 TRADES 方法 ， 在 训练 时 使 用 


的 时 候 将 学 习 率 降 为 0.001， 一 共 训 


的 扰动 大 
素 点 的 值 最 大 改变 为 8， 迭代 次 


数 为 10 次 ,扰动 步 长 为 0.0031， 标记 为 TRADES(10)。 对 于 
GGNA 方 法 ,在 训练 时 加 入 的 噪声 的 最 大 标准 差 初 始 化 为 0.1， 


在 第 10, 20 和 25 周期 的 时 候 分 别 将 标准 差 提升 到 0.15, 0.20 


分 别 训练 多 个 模型 对 比 测试 。 


和 0.25， 在 第 30 周期 时 将 标准 差 修改 为 [0.25, 0.35] 的 范围 ， 


对 于 以 前 的 利用 噪声 图 像 训练 


网 络 的 方法 ， 标记 为 Gaussian noise,， 该 方法 在 训练 时 向 输入 
图 像 中 添加 普通 高 斯 噪声 训练 模型 。 对 于 MART 方法 , 使 用 


和 TRADES 方法 相同 的 参数 
实验 使 用 FGSM，PGD， 


配置 。 
Deepfool 攻击 方法 进行 广泛 的 


测试 ， 在 测试 对 抗 样 本 时 为 减少 随机 性 ， 将 实验 的 测试 次 数 


设置 为 50 次 ,实验 使 用 的 CPU 是 i7-9700K,GPU 是 NVIDIA 


RTX 2080Ti。 


3.2 ”GGNA 方法 与 之 前 方法 在 添加 噪声 的 不 同 


图 3 显示 了 高 斯 噪声 的 最 大 标准 差 为 0.15 时 , 在 训练 阶 


练 出 的 模型 在 测试 正常 样本 时 的 准确 率 以 及 测试 对 抗 样本 时 
的 准确 率 。 其 中 ， 对 抗 样本 是 使 用 扰动 大 小 为 8255,， 友 代 
次 数 上 为 8, 步 长 x 为 1/255 的 PGD 攻击 产生 ,为 简单 起 见 ， 
在 测试 对 抗 样本 时 添加 的 噪声 标准 差 为 训练 阶段 实际 添加 的 
噪声 的 标准 差 的 均值 ， 在 测试 正常 样本 时 不 向 图 像 中 添加 高 
斯 噪声 。 从 表 1 中 可 以 看 出 ， 在 一 定 范 围 内 随 着 训练 时 添加 
噪声 的 标准 差 的 增加 ， 训 练 出 的 网 络 在 测试 对 抗 样本 时 的 ; 
确 率 也 在 逐渐 提高 ， 但 在 测试 正常 样本 时 准确 率 却 在 下 降 ， 
为 了 权衡 两 个 准确 率 ,在 下 面 的 实验 中 ,GGNA 方法 采用 0.30 
的 最 大 标准 差 ， 对 应 的 添加 的 实际 噪声 的 标准 差 为 0.18。 

训练 时 添加 的 不 同 标准 差 的 噪声 对 准确 率 的 影响 


The effect of adding noise with different standard deviations 


表 1 
Tab. 1 


during training on accuracy 


段 ， 梯 度 指 导 噪 声 添加 (GGNA) 的 对 抗 训 练 方法 与 之 前 使 用 
噪声 图 像 训 练 方法 在 添加 噪声 时 的 不 同 ， 其 中 (a) 是 cifar-10 
中 训练 的 原 图 ，(b) 是 GGNA 方法 训练 时 产生 的 自 适 应 噪声 
图 。(c) 是 普通 的 添加 高 斯 噪声 的 方法 训练 时 产生 的 噪声 图 ， 
(gd) 是 a 图 的 一 个 通道 的 梯度 图 ，(e) 是 GGNA 方法 向 原 图 中 
添加 的 实际 噪声 ， 人 是 以 前 的 方法 向 原 图 中 添加 的 实际 噪声 ， 


最 大 标准 差 差 实际 标准 差 差 对 抗 样本 准确 率 率 正常 样本 准确 率 率 
0.25 0.15 0.4440 0.8878 
0.27 0.16 0.4554 0.8807 
0.28 0.17 0.4652 0.8796 
0.29 0.17 0.4775 0.8763 
0.30 0.18 0.4870 0.8740 
0.31 0.18 0.4880 0.8732 
0.32 0.19 0.4914 0.8706 
0.33 0.19 0.5003 0.8650 
0.35 0.20 0.5042 0.8580 
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3.4 GGNA 方法 和 普通 对 抗 训练 方法 训练 的 时 间 对 比 准 差 为 0.18 的 高 斯 噪声 。 实 验 为 了 方便 比较 ， 将 横 坐 标 刻度 
表 2 显示 了 GGNA 与 TRADES(10) 在 cifar-10 数据 集 上 值 设 置 为 *。 其 他 参数 如 4.1 实验 设置 所 述 。 实 验 结果 如 下 : 
训练 一 个 周期 的 时 间 对 比 , 实验 的 参数 如 4.1 实验 设置 所 述 ， a) 攻击 步 长 " 对 对 抗 样本 准确 率 的 影响 : 图 4 显示 了 在 


TRADES(10) 表 示 在 对 抗 训练 时 迭代 计算 10 次 输入 图 像 的 梯 ” 迁 代 次 数 上 为 8， 且 随 着 步 长 x 的 增加 的 PGD 攻击 下 ， 四 种 
度 以 生成 对 抗 样本 。 由 于 GGNA 方法 在 对 抗 训练 过 程 中 只 需 ”防御 方法 的 对 抗 样本 准确 率 。 其 中 (a) 和 (b) 分 别 是 在 天 以 及 
要 计算 1 次 输入 图 像 的 梯度 , 而 TRADES(10) 却 要 过 代 多 次 ， 书 类 型 的 PGD 攻击 下 的 准确 率 ， 从 图 4 中 可 以 看 出 ， 随 着 


相对 于 TRADES(10)，GGNA 方法 的 训练 时 间 只 有 其 30%， 扰动 步 长 的 增加 ， 四 种 防御 方法 的 对 抗 样本 准确 率 都 有 不 同 
有 效 地 减少 了 训练 的 时 间 。 程度 的 下 降 ， 但 GGNA 方法 相对 于 其 他 三 种 防御 方法 在 工 
表 2 GGNA 方法 和 TRADES 方法 训练 时 间 对 比 以 及 工 类 型 的 扰动 下 都 具有 更 高 的 对 抗 样本 准确 率 。 

Tab.2 Training time between GGNA and TRADES method 0.8 1.0 
方法 一 个 周期 的 训练 时 间 Wo7 | it 
GGNA 118S 沽 0 一 一 Gaussian noise 0.7 一 一 Gaussian noise 
这 一 MART 0.6 一 MART 
TRADES(10) 385 S Eo. 5 05 
3.5 不 同 防 利 方 法 在 正常 样本 和 对 抗 样本 上 的 准确 率 比较 。 。 宝 04| 一 一 一 一 一 ae 
由 于 不 同 防御 方法 在 对 抗 样本 和 正常 样本 的 准确 率 之 间 。 “63| 一 。。，，，。， sa 
都 会 存在 一 定 的 权衡 ， 即 同一 防御 方法 在 提高 对 抗 样本 准确 1 2 3 4 5 7 8 os10152025303540 
率 时 相应 的 会 降低 正常 样本 的 准确 率 P4。 为 比较 不 同 防御 广 KK /55 入 大 人 2) 
法 在 相同 条 件 下 正常 样本 和 对 抗 样本 的 准确 率 ， 本 实验 采用 (a) 六 类 型 的 PGD 攻击 (b) 荆 类 型 的 PGD 攻击 
了 扰动 大 小 为 8/255, 迁 代 次 数 上 为 8, 步 长 大 小 < 为 3/255 图 4 随 着 步 长 的 增加 ， 四 种 防御 方法 的 对 抗 样本 准确 率 
的 PGD 攻击 方法 , 比较 了 Normal、MART、Gaussian noise、 Fig.4 As the step size increases, the accuracy of 
TRADES( 10) 和 本 文 提 出 的 GGNA 防御 方法 。 其 中 GGNA 方 three defense methods in adversarial examples 
法 在 加 入 噪声 的 最 大 标准 差 为 0.30 时 , 实际 的 生成 的 噪声 的 b) 攻击 迭代 次 数 k 对 对 抗 样本 准确 率 的 影响 : 图 5 显示 


标准 差 为 0.18， 为 了 公平 比较 ， 将 之 前 的 噪声 添加 方法 的 中 了 随 着 PGD 攻击 的 迭代 次 数 的 增加 , 四 种 防 竹 方法 的 对 抗 
添加 噪声 的 标准 差 设 定 为 0.18， 并 标记 为 Gaussian noise， 对 样本 准确 率 的 比较 ， 实 验 将 步 长 设置 为 s/t 。 其 中 (a) 和 (b) 
于 正常 训练 的 方法 ， 标 记 为 Normal， 其 他 参数 设 定 如 4.1 实 分 别 显示 了 在 三 以 及 工 类 型 的 PGD 攻击 下 ， 四 种 防御 方法 
验 设 置 所 述 。 实 验 中 在 测试 正常 样本 时 ，GGNA 方法 和 的 对 抗 样本 准确 率 变 化 。 可 以 看 出 随 着 迭代 次 数 的 增加 ， 在 


Gaussian noise 方法 都 不 添加 高 斯 噪声 , 在 测试 对 抗 样本 时 添 产 类 型 的 扰动 下 ，GGNA 方法 与 MART 方法 取得 了 相当 的 
加 标准 差 为 0.18 的 高 斯 噪声 。 实 验 结果 如 表 3 所 示 ， 从 表 3 对抗 样本 准确 率 ， 相 比 于 另外 两 种 方法 取得 了 更 好 的 对 抗 样 
中 可 以 看 出 GGNA 方法 实现 了 更 好 的 对 抗 样本 以 及 正常 样 ”本 准确 率 。 而 在 己 类 型 的 扰动 下 ，GGNA 方法 相对 于 其 他 三 
本 的 准确 率 。 种 防御 方法 具有 更 高 的 对 抗 样本 准确 率 。 
表 3 不 同方 法 在 正常 样本 和 对 抗 样本 上 的 准确 率 ee 
Tab.3 The accuracy of different methods on 生 0.7 医大 汪 站 0.75 民运 eo 
normal and adversarial examples 时 0.6 区 0 nese Ee Ee Gms noise 

防御 方法 对 抗 样本 准确 率 正常 样本 准确 率 os 0.601. 

Normal 0.0000 0.9295 二 Te 0 A 
Gaussian noise 0.3030 0.8077 ES 0.45] reeeeyyreyreyy 
TRADES(10) 0.4104 0.8722 246 8101214161820 ea 246 8101214161820 

MART 0.4691 0.7622 选 代 次 数 ; n NA 

GGNA 0.4702 0.8740 (a) 志 类 型 的 PGD 攻击 (b) 五 类 型 的 PGD 攻击 

3.6 不 同 攻击 方法 下 对 抗 样本 准确 率 的 比较 图 5 随 着 迭代 次 数 的 增加 ， 四 种 防 衔 方法 的 对 抗 样本 准确 率 

3.6.1 PGD 攻击 Fig.5 As the number of iterations increases, the accuracy of 
为 了 更 全 面 的 比较 GGNA 方法 和 其 他 防御 方法 在 对 抗 three defense methods in adversarial examples 

样本 准确 率 上 的 性 能 ， 实 验 在 PGD 攻击 下 进行 了 广泛 的 测 c) 最 大 扰动 = 对 对 抗 样本 准确 率 的 影响 : 图 6 显示 了 在 


试 , 包括 攻击 步 长 <， 和 迭代 次 数 上 ， 最 大 扰动 。 。 根 据 对 抗 样 ”PGD 攻击 下 ， 随 着 最 大 扰动 = 的 增加 ， 四 种 方法 的 对 抗 样本 
本 的 扰动 的 计算 方法 ， 对 抗 攻 击 类 型 可 以 分 为 攻击 类 型 以 ”准确 率 比较 。 对 于 工 类 型 的 扰动 , 将 最 大 扰动 6 的 范围 设置 
及 天 攻击 类 型 , 在 到 攻击 类 型 中 扰动 大 小 的 计算 方法 为 对 抗 为 [8/255,26/255], 而 石 类 型 的 扰动 , 将 最 大 扰动 e 的 范围 设 
样本 与 原始 样本 x 的 差 的 绝对 值 的 最 大 值 ， 即 和 置 为 [3/255, 15/25$]X32， 将 迭代 次 数 上 设置 为 8， 步 长 大 小 
性- 站 =max 上 -x| ， 在 七 攻 击 类 型 中 扰动 大 小 的 计算 方法 为 对 ”设置 为 /x 。 从 图 6 中 可 以 看 出 ， 在 二 类 型 的 扰动 下 ， 随 着 
抗 样本 4 与 原始 样本 x 的 差 的 绝对 值 的 平方 和 再 开 方 ， 即 。 最 大 扰动 的 增加 , GGNA 方法 取得 了 和 MART 方法 具有 竞争 

四 二 AR 力 的 对 抗 样本 准确 率 ， 以 及 比 另 外 两 种 方法 更 好 的 对 抗 样本 
上 E- 囊 = 人 2G-9。 其 中 ， 和 是 输入 样本 每 个 通道 的 像素 点 准确 率 。 在 二 类 型 的 扰动 下 ， 随 着 最 大 扰动 的 增加 ，GGNA 
的 个 数 ,在 本 次 实验 中 Nv 为 32X32, 对 于 最 大 扰动 ,为 8/255 方法 相对 于 其 他 三 种 方法 ， 都 具有 更 高 的 对 抗 样本 准确 率 。 
的 五 攻 击 类 型 , 对 应 的 五 攻 击 类 型 的 最 大 扰动 所 为 (8/253)X ”3.6.2 FGSM 和 Deepfool 攻击 
32。 在 没有 特别 说 明 的 情况 下 ， 本 节 实 验 将 5 攻击 类 型 的 最 本 小 节 显 示 了 在 Deepfool 和 FGSM 0 三 种 防御 方 
大 扰动 e 设置 为 8025$， 将 五 攻击 类 型 的 最 大 扰动 所 设置 为 法 的 对 抗 样本 准确 率 。 对 于 Deepfool 攻击 ， 将 最 大 友 代 次 数 
(4/255)X32, 对 于 GGNA 方法 训练 时 添加 的 噪声 最 大 标准 差 ”设置 为 50 次 , 最 大 扰动 设置 为 (4/255)X32。 对 于 FGSM, 攻击 ， 
为 0.3， 测 试 时 向 图 像 中 添加 标准 差 为 0.18 的 高 斯 噪声 ， 对 ”将 最 大 扰动 设置 为 (4/255)X32， 对 于 FGSM, 攻击 ， 将 最 大 扰 
于 Gaussian noise 方法 在 训练 以 及 测试 时 都 向 图 像 中 添加 标 。” 动 设置 为 8/255。 由 于 Deepfool 攻击 中 添加 的 扰动 很 少 ， 所 
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以 在 测试 Deepfool 攻击 时 ， 对 于 GGNA 和 Gaussian noise 方 
法 ， 添 加 标准 差 为 0.1 的 噪声 。 在 表 4 中 显示 了 四 种 防御 方 
法 在 FGSM 和 Deepfool 攻击 下 的 准确 率 比 较 ， 可 以 看 出 
GGNA 方法 在 防御 二 类 型 的 FGSM 以 及 Deepfool 攻击 时 ， 


相对 于 另外 三 种 防御 方法 具有 较 高 的 对 抗 样本 准确 率 。 

0.5 一 一 GGNA 0.7 一 一 GGNA 
检 一 一 TRADES(10) 0.6 一 一 TRADES(10) 
证 0.4 一 一 Gaussian noise 0.5 一 一 Gaussian noise 
全 U3 MART GA MART 
注 0.3 
本 02 
放 0.2 

0.1 0.1 

0 0.0 

10 12 14 16 18 20 22 24 26 3 5 村 9 11 13 15 


最 大 扰动 大 小 : n/255 最 大 扰动 大 小 : (n/255) X32 
(a) 三 类 型 的 PGD 攻击 (b) 石 类 型 的 PGD 攻击 
图 6 随 着 最 大 扰动 的 增加 ， 四 种 防御 方法 的 对 抗 样本 准确 率 


Fig.6 Asthe maximum disturbance increases, the accuracy of 


three defense methods in adversarial examples 
表 4 FGSM 和 Deepfool 攻击 下 的 对 抗 样本 准确 率 
Tab.4 Adversarial examples accuracy under FGSM and Deepfool attacks 


应 噪声 添加 的 防御 对 抗 样本 的 算法 


方法 FGSM, FGSM, Deepfool 
GGNA 0.5893 0.5051 0.8037 
TRADES(10) 0.5457 0.5089 0.6856 
Gaussian noise 0.4830 0.3519 0.7549 
MART 0.5560 0.5112 0.6935 
3.7 讨论 


本 文 在 cifar-10 数据 集 上 使 用 了 多 种 攻击 方法 (PGD， 
FGSM，Deepfool) 对 提出 的 GGNA 防御 方法 与 多 种 防御 方法 
MART,TRADES,Gaussian noise) 进 行 实验 对 比 。 由 于 PGD 攻 
击 方法 产生 的 对 抗 样本 更 容易 使 分 类 系统 分 类 错误 ， 因 此 在 
该 攻击 下 进行 更 加 全 面 的 测试 ,包括 攻击 的 步 长 ,迭代 次 数 ， 
最 大 扰动 。 实 验 结果 表明 ， 在 乙 类 型 的 扰动 下 ， 相 对 于 其 他 
三 种 防御 方法 ,GGNA 方 法 都 取得 了 更 好 的 对 抗 样本 准确 率 ， 
而 在 类 型 的 扰动 下 , GGNA 方法 也 取得 了 和 最 新 的 MART 
防御 方法 相当 的 对 抗 样本 准确 率 ， 相 比 TRADES 方法 和 
Gaussian noise 方 法 更 高 的 对 抗 样本 准确 率 , 总 的 来 说 ,GGNA 
方法 有 效 地 提高 了 图 像 分 类 模型 分 类 对 抗 样本 的 准确 率 。 

4 ”结束 语 

为 了 提高 基于 深度 神经 网 络 的 图 像 分 类 模型 防御 对 抗 样 
本 的 能 力 ， 本 文 提 出 了 梯度 指导 噪声 添加 (GGNA) 的 对 抗 
练 方法 。 广 泛 的 实验 结果 表明 ， 相 对 于 TRADES，MART， 
Gaussian noise 方法 , GGNA 方法 在 多 种 对 抗 样本 的 分 类 准确 
率 上 实现 了 相当 或 更 好 的 性 能 ， 有 效 地 提高 了 图 像 分 类 模型 
正确 分 类 对 抗 样本 的 能 
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